Bei der Verwendung systembedingter verwalteter Identitäten mit Firewall-Konfigurationen in Azure können mehrere Best Practices angewendet werden:
1. Prinzip der geringsten Privilegien: Stellen Sie sicher, dass der verwalteten Identität nur die erforderlichen Berechtigungen für die Ausführung ihrer Aufgaben erteilt wird. Dies verringert das Risiko eines nicht autorisierten Zugriffs, wenn die Identität beeinträchtigt wird. Wenn beispielsweise eine verwaltete Identität Daten aus einem Speicherkonto lesen muss, sollte sie keine Schreibberechtigungen haben, es sei denn, dies ist erforderlich [5].
2. Lebenszyklusmanagement: Die systembedingte Identitäten sind an den Lebenszyklus der Ressource gebunden. Dies bedeutet, dass sie automatisch gelöscht werden, wenn die Ressource gelöscht wird, was das Management vereinfachen kann, aber eine sorgfältige Planung für Rollenzuweisungen erfordert. Stellen Sie sicher, dass während der Ressourcenbereitstellung Rollenzuweisungen erstellt und angemessen verwaltet werden [5].
3.. Rollenbasierte Zugriffskontrolle (RBAC): Verwenden Sie Azure RBAC, um Berechtigungen für systembedingte Identitäten zu verwalten. Dies ermöglicht eine körnige Kontrolle darüber, welche Aktionen die Identität auf Azure -Ressourcen ausführen kann [1].
4. Vertrauenswürdige Dienste: Wenn Sie systembedingte Identitäten mit Diensten wie dem Azure-Schlüsselverluster oder Azure-Speicher verwenden, stellen Sie sicher, dass die Option "Vertrauenswürdige Microsoft-Dienste diese Firewall umgehen lassen", wenn Firewalls vorhanden sind. Auf diese Weise können verwaltete Identitäten auf diese Dienste zugreifen, auch wenn Firewalls konfiguriert sind [3].
5. Überwachung und Prüfung: Überwachen und prüfen Sie regelmäßig die von verwalteten Identitäten durchgeführten Aktivitäten, um sicherzustellen, dass sie innerhalb der erwarteten Grenzen arbeiten. Dies ist besonders wichtig für Compliance- und Sicherheitsprüfungszwecke [5].
6. Ressourcengruppierung: Wenn mehrere Ressourcen Zugriff auf dieselbe Ressourcenmenge erfordern, sollten Sie stattdessen eine benutzerdefinierte Identität verwenden. Wenn jedoch jede Ressource eindeutige Berechtigungen benötigt oder mit der Ressource gelöscht werden sollte, sind die systembedingten Identitäten besser geeignet [2] [5].
Stellen Sie im Kontext von Firewall -Konfigurationen sicher, dass alle für die Authentifizierung oder Zugriff verwendeten verwalteten Identitäten ordnungsgemäß so konfiguriert sind, dass sie mit Firewall -Regeln und -einstellungen arbeiten, um den erforderlichen Datenverkehr zu ermöglichen und gleichzeitig die Sicherheit zu erhalten.
Zitate:
[1] https://docs.fortinet.com/document/fortianalyzer-public-cloud/7.6.0/azure-administration-guide/205385/enable-system-Signed-managed-identity-and-configure-permissions
[2] https://www.red-gate.com/simple-talk/cloud/azure/azure-function-nction-us-ntIned-managed-identities/
[3] https://docs.azure.cn/en-us/api-management/api-management-howto-use-smanaged-service-identity
[4] https://learn.microsoft.com/en-us/security/benchmark/azure/baselines/azure-firewall-security-baseline
[5] https://learn.microsoft.com/en-us/entra/identity/managed-identities-azure-resources/managed-identity-best-practice-recommendations
[6] https://sec.cloudapps.cisco.com/security/center/resources/firewall_best_practices
[7] https://learn.microsoft.com/en-us/entra/identity/managed-identities-azure-resources/overview
[8] https://trendmicro.com/cloudoneconformity/knowledge-base/azure/